5
Clients nach illigaler Software und Aktivitäten scannen
Ich bin beauftragt worden einzelne Clients mit einer Software zu scannen, die die Aktivitäten und Installation von illigaler Software, ausgibt.
Hallo miteinander,
Ich wurde beauftragt im Namen meiner Firma einzelne Clients auf Installationen und Aktivitäten zu Scannen. Die ganzen ist Länderübergreifend.
-Vorweg ist zu erwähnen das in dem Land ein Datenschutz wie wir es hier in DE kennen exestiert.-
Also bin ich auf der Suche nach geeigneter Software - keine Freeware - die es mir Möglich macht Clients im Hintergrund zu Scannen nach besagter illigaler Software und Aktivitäten.
Mit Aktivitäten sind gemeint, z.B. wenn jemand mit Mini PE oder ähnliches sich die Lokalen Admin Rechte aneignet hat.
Kann mir jemand hier auf dem Board nen Tipp geben?
Mit den Richtlinien und dem Connect C$ und die index.dat auslesen habe ich schon alles gemacht, dass reicht den Herren der GL nicht. Ich brauche Software die das z.B. per Log File ausgibt oder ggf. die das selbst können.
Grund: Viren auf den Firmen Servern, Software die nicht gewollt ist.
Ich danke schon mal für Tipps
LG
Stefan
Ich wurde beauftragt im Namen meiner Firma einzelne Clients auf Installationen und Aktivitäten zu Scannen. Die ganzen ist Länderübergreifend.
-Vorweg ist zu erwähnen das in dem Land ein Datenschutz wie wir es hier in DE kennen exestiert.-
Also bin ich auf der Suche nach geeigneter Software - keine Freeware - die es mir Möglich macht Clients im Hintergrund zu Scannen nach besagter illigaler Software und Aktivitäten.
Mit Aktivitäten sind gemeint, z.B. wenn jemand mit Mini PE oder ähnliches sich die Lokalen Admin Rechte aneignet hat.
Kann mir jemand hier auf dem Board nen Tipp geben?
Mit den Richtlinien und dem Connect C$ und die index.dat auslesen habe ich schon alles gemacht, dass reicht den Herren der GL nicht. Ich brauche Software die das z.B. per Log File ausgibt oder ggf. die das selbst können.
Grund: Viren auf den Firmen Servern, Software die nicht gewollt ist.
Ich danke schon mal für Tipps
LG
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 131912
Url: https://administrator.de/contentid/131912
Printed on: April 16, 2024 at 09:04 o'clock
5 Comments
Latest comment
Bei Viren ist es ganz einfach: Normal sollte in einer Firma eine vernünftige Management-Lösung laufen (die u.a. auch überwacht das die Signatur-Updates auch laufen usw.). Hier einfach die Log mit den Alerts ausdrucken und gut.
Bei der Software wirds etwas problematischer wenn du das als Freeware willst. Hier könnte dir jede SW-Management-SW helfen (die können normal auch SW installieren/deinstallieren) - allerdings wäre mir da nur OPSI als
freie Software bekannt. Da weiss ich leider nicht ob die auch ne inventarisierung anbietet...
Bei der Software wirds etwas problematischer wenn du das als Freeware willst. Hier könnte dir jede SW-Management-SW helfen (die können normal auch SW installieren/deinstallieren) - allerdings wäre mir da nur OPSI als
freie Software bekannt. Da weiss ich leider nicht ob die auch ne inventarisierung anbietet...
Installation von Fremdsoftware kann durch ein vernueftiges Rechtemanagment verhindert werden. Die Ausfuehrunge von Mini PE oder aehnlichen kann durch einschraenkung der Bootmedien und USB-Ports verhindert werden.
Ansonsten gibt es gute Antivirensoftware die eben die Aufgabe wahrnimmt Viren aufzuspueren und sogenannte "unerwuenschte Software" ebenfalls findet.
Desweiteren gibt es zum Beispiel gute Loesungen von Bit9 zb. die Parity Suite. Die Anwendung verhindert das ausfuehren von jeglicher 'unbekannten' Software.
Weitergehende forensische Ermittlungen koennen auch Online mit Guidance EnCase Enterprise oder EnCase Command Centre durchgefuehrt werden.
Ansonsten gibt es gute Antivirensoftware die eben die Aufgabe wahrnimmt Viren aufzuspueren und sogenannte "unerwuenschte Software" ebenfalls findet.
Desweiteren gibt es zum Beispiel gute Loesungen von Bit9 zb. die Parity Suite. Die Anwendung verhindert das ausfuehren von jeglicher 'unbekannten' Software.
Weitergehende forensische Ermittlungen koennen auch Online mit Guidance EnCase Enterprise oder EnCase Command Centre durchgefuehrt werden.
Hallo maretz,
erst mal Danke für die Antwort.
Aber ich möchte keine Freeware benutzen.
Und einen VirenScanner haben wir, der hat ja die Viren gefunden und in Quaratäne geschickt, gleichzeitig mir eine Mail geschickt das ein Virenfund war. Das ist nicht das Problem.
Ich suche nur die entsprechende Software die es mir erlaubt einen oder eine Gruppe von Clients zu scannen um zu sehen wer Software installiert hat die die Firma nicht duldet. In diesem Speziellen Fall ist es etwas komplexer, da dieser Standort nicht in DE ist und es einen Lokalen Techniker vor Ort dort gibt, der aber scheinbar manchen Usern dort einen "Sonderwunsch" erfüllt. Genau das möchte die GL wissen.
Gruß
S
erst mal Danke für die Antwort.
Aber ich möchte keine Freeware benutzen.
Und einen VirenScanner haben wir, der hat ja die Viren gefunden und in Quaratäne geschickt, gleichzeitig mir eine Mail geschickt das ein Virenfund war. Das ist nicht das Problem.
Ich suche nur die entsprechende Software die es mir erlaubt einen oder eine Gruppe von Clients zu scannen um zu sehen wer Software installiert hat die die Firma nicht duldet. In diesem Speziellen Fall ist es etwas komplexer, da dieser Standort nicht in DE ist und es einen Lokalen Techniker vor Ort dort gibt, der aber scheinbar manchen Usern dort einen "Sonderwunsch" erfüllt. Genau das möchte die GL wissen.
Gruß
S
Hallo Gagarin,
danke, ich werde die Vorgeschlagene Software mal erg
Leider ist es nicht Möglich USB zu sperren, das Sticks benutzt werden.
Gruß
S
danke, ich werde die Vorgeschlagene Software mal erg
Leider ist es nicht Möglich USB zu sperren, das Sticks benutzt werden.
Gruß
S
Hallo.
Ich versuche Dir mal ein paar Möglichkeiten aufzuzeigen.
1 "MINI PE"=Bart Boot-CD, die das Adminkennwort löscht? Lässt sich zuverlässig behindern durch verwenden von Syskey. Die Bootoptionen im Bios reichen nicht, zumindest nicht, wenn nicht regelmäßig kontrolliert wird, ob diese weiterhin greifen. Zudem gibt es haufenweise Biosse, die diesen Schutz nur fehlerhaft eingebaut haben. Auch über Verschlüsselung der Platten behinderst Du Mini PE, aber das wäre Overkill, syskey reicht.
2 Installationen die Adminrechte erfordern hast Du so also über 1 erfolgreich behindert, es sei denn, Leute brauchen Adminrechte zur Ausführung von inkompatibler Software, was zu 3 führt.
3 Software restriction policies können, wenn sorgfältig durchdacht eingebaut, mit der Verwendung von nicht authorisierter Software Schluss machen. Dies erfordert aber einige Planung, damit nachher nicht das Gejammer groß ist, weil sich nichts mehr starten lässt. Lokale Admins können mit etwas Aufwand jedoch auch diesen Schutz umgehen - jedoch könntest Du mit Überwachung arbeiten und somit zumindest mitbekommen, wenn das versucht wird. Insofern ist dies ganz klar die beste Lösung.
Nach Installationen zu scannen wird schwierig - da Du ja nicht pausenlos den rechner scannen willst, oder? Natürlich kannst Du ein Listing erzeugen und das mit dem Vortag vergleichen und bei Abweichungen Alarm auslösen - aber das halte ich für sehr sehr fehleranfällig.
Überwachung von "Aktivitäten" - was meinst Du damit? Welche Vorgänge sollen das genau sein?
Ich versuche Dir mal ein paar Möglichkeiten aufzuzeigen.
1 "MINI PE"=Bart Boot-CD, die das Adminkennwort löscht? Lässt sich zuverlässig behindern durch verwenden von Syskey. Die Bootoptionen im Bios reichen nicht, zumindest nicht, wenn nicht regelmäßig kontrolliert wird, ob diese weiterhin greifen. Zudem gibt es haufenweise Biosse, die diesen Schutz nur fehlerhaft eingebaut haben. Auch über Verschlüsselung der Platten behinderst Du Mini PE, aber das wäre Overkill, syskey reicht.
2 Installationen die Adminrechte erfordern hast Du so also über 1 erfolgreich behindert, es sei denn, Leute brauchen Adminrechte zur Ausführung von inkompatibler Software, was zu 3 führt.
3 Software restriction policies können, wenn sorgfältig durchdacht eingebaut, mit der Verwendung von nicht authorisierter Software Schluss machen. Dies erfordert aber einige Planung, damit nachher nicht das Gejammer groß ist, weil sich nichts mehr starten lässt. Lokale Admins können mit etwas Aufwand jedoch auch diesen Schutz umgehen - jedoch könntest Du mit Überwachung arbeiten und somit zumindest mitbekommen, wenn das versucht wird. Insofern ist dies ganz klar die beste Lösung.
Nach Installationen zu scannen wird schwierig - da Du ja nicht pausenlos den rechner scannen willst, oder? Natürlich kannst Du ein Listing erzeugen und das mit dem Vortag vergleichen und bei Abweichungen Alarm auslösen - aber das halte ich für sehr sehr fehleranfällig.
Überwachung von "Aktivitäten" - was meinst Du damit? Welche Vorgänge sollen das genau sein?